Você está aqui: Página Inicial > Transformação Digital > Contratações de tecnologia > Perguntas e Respostas > Diretrizes específicas de planejamento da contratação

Diretrizes específicas de planejamento da contratação

O anexo da IN SGD/ME nº 1, de 2019, intitulado “Diretrizes Específicas de planejamento da Contratação” substitui a Portaria STI/MP nº 20, de 2016?

Não. Esse anexo trata de regras específicas para contratação de alguns tipos particulares de soluções de TIC. Tais regras originaram-se de estratégias da Secretaria de Governo Digital do Ministério da Economia (SGD/ME), de determinações trazidas pelo TCU e de relatórios de auditoria da CGU.

Alguns destes assuntos são tratados por meio de documentos anexos à Portaria STI/MP nº 20, de 2016 e algumas orientações e vedações contidas nesses documentos passaram a incorporar a nova IN SGD/ME nº 1, de 2019. Os anexos da Portaria nº 20 que não foram incorporados à nova IN, serão tratados em Guias/Manuais específicos, com o intuito de orientar os órgãos e entidades em seus planejamentos da contratação, conforme previsto no art. 8º, § 2º, da IN SGD/ME nº 1, de 2019:

“§ 2º As contratações de soluções de TIC devem atender às normas específicas dispostas no ANEXO e observar os guias, manuais e modelos publicados pelo Órgão Central do SISP.”

Neste sentido, os anexos e a própria Portaria STI/MP nº 20, de 2016 serão revogados por meio de instrumento próprio, o que ocorrerá à medida que forem elaborados manuais, roteiros ou guias específicos sobre os assuntos tratados em cada um dos anexos da Portaria.

Quais são as diretrizes específicas de Planejamento da Contratação, inseridas como anexo da norma?

As diretrizes específicas trazidas pelo Anexo da IN SGD/ME nº 1, de 2019, são inicialmente para:

  1. Contratação de Licenciamento de software e serviços agregados;
  2. Contratação de Solução de Autenticação para Serviços Públicos Digitais;
  3. Contratação de Serviços de Desenvolvimento, Sustentação e Manutenção de Software;
  4. Contratação de Infraestrutura de Centro de Dados, Serviços em Nuvem, Sala-Cofre e Sala Segura.

Com o passar do tempo, essa lista de diretrizes pode ser incrementada ou alterada, conforme surgirem novas estratégias do órgão central do SISP, jurisprudência do TCU, auditorias de órgãos de controle ou alterações de dispositivos legais e normativos.

A nova IN veda as contratações de datacenter, sala segura e sala-cofre?

A vedação contida na IN nº 1, de 2019 é somente para a criação ou ampliação de salas-cofre ou salas seguras que, no entanto, poderão ser permitidas mediante prévia autorização do Órgão Central do SISP, que analisará caso a caso.

Nos casos de contratações que visem criar, ampliar ou renovar infraestrutura de centro de dados (datacenter), a prioridade é pela escolha do modelo de computação em nuvem, exceto para os casos em que esta opção for declarada inviável nos estudos técnicos preliminares, incluindo-se os casos em que não for possível a utilização de serviços em nuvem, devido, por exemplo, a restrições contidas na legislação vigente, como aquelas previstas na Norma Complementar 14/IN01/DSIC/SCS/GSIPR.

A NC 14/IN01/DSIC/SCS/GSIPR define algumas regras, sobre os tipos de informações que podem ser tratadas em ambiente computação em nuvem e as que são vedadas:

“5.2.1 Informação sem restrição de acesso: pode ser tratada, a critério do órgão ou entidade da APF, em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC;

5.2.2 Informação sigilosa: como regra geral, deve ser evitado o tratamento em ambiente de computação em nuvem, conforme disposições a seguir:

5.2.2.1 Informação classificada: é vedado o tratamento em ambiente de computação em nuvem;

5.2.2.2 Conhecimento e informação contida em material de acesso restrito: é vedado o tratamento em ambiente de computação em nuvem;

5.2.2.3 Informação com restrição de acesso prevista em legislação vigente: a critério do órgão ou entidade de APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a disponibilidade, integridade, confidencialidade e autenticidade (DICA);

5.2.2.4 Documento Preparatório: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos da SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA;

5.2.2.5 Documento preparatório que possa originar informação classificada deve ser tratado conforme o item 5.2.2.1; e

5.2.2.6 Informação pessoal relativa à intimidade, vida privada, honra e imagem: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA.”

Importante ressaltar que a vedação para contratações de salas seguras ou salas-cofre, já existe desde a publicação da Portaria STI/MP nº 20, em 14 de junho de 2016, por meio de seu documento anexo: Boas práticas, orientações e vedações para contratação de Serviços em Computação em Nuvem.